La loi Informatique et Libertés : origine, rôle et cadre actuel

La loi Informatique et Libertés : origine, rôle et cadre actuel

La loi Informatique et Libertés est le texte fondateur de la protection des données personnelles en France. Née d'un scandale retentissant dans les années 1970, elle encadre depuis 1978 l'usage des données personnelles, et a été profondément remaniée pour s'articuler avec le droit européen. D'où vient-elle, à quoi sert-elle, et que prévoit-elle aujourd'hui ? Le point.

Je précise mon rôle : je vulgarise ici un sujet juridique et technique. Pour une question de conformité précise, la CNIL met à disposition de nombreuses ressources, et un avocat spécialisé peut vous accompagner.

D'où vient la loi Informatique et Libertés ? L'affaire SAFARI

À l'origine de la loi, il y a un scandale. En 1974, le journal Le Monde révèle, sous le titre « SAFARI ou la chasse aux Français », un projet gouvernemental nommé SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus). Ce projet visait à interconnecter les fichiers de l'administration à partir d'un identifiant unique, le numéro de sécurité sociale, permettant de rassembler en une seule interrogation toutes les informations détenues sur une personne.

L'émotion fut considérable, ravivée par le souvenir des fichages de la Seconde Guerre mondiale. Le projet fut abandonné, et le gouvernement confia à une commission le soin de proposer un encadrement. Ces travaux aboutirent à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui créa également la première autorité administrative indépendante française : la Commission nationale de l'informatique et des libertés (CNIL).

À quoi sert la loi Informatique et Libertés ?

Son objectif est de protéger les personnes en encadrant le traitement de leurs données à caractère personnel. Son article 1er pose un principe resté célèbre : l'informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés.

Concrètement, elle impose à ceux qui traitent des données personnelles (entreprises, administrations…) un ensemble d'obligations, et reconnaît aux personnes concernées des droits (accès, rectification, effacement, opposition…) sur les informations les concernant.

Quel est le cadre actuel ? L'articulation avec le RGPD

C'est le point le plus important à actualiser, car la loi de 1978 ne se lit plus seule aujourd'hui. Depuis le Règlement général sur la protection des données (RGPD), règlement européen du 27 avril 2016 applicable depuis le 25 mai 2018, le cadre a été profondément renouvelé et harmonisé à l'échelle de l'Union européenne.

La loi française de 1978 a été adaptée au RGPD par la loi du 20 juin 2018, puis réécrite par une ordonnance du 12 décembre 2018. Aujourd'hui, la protection des données repose sur ce couple : le RGPD (directement applicable) et la loi Informatique et Libertés (qui le complète et l'adapte en droit français).

Ce changement a une conséquence majeure, souvent mal comprise : le régime de déclaration préalable à la CNIL a été quasiment supprimé. Auparavant, de nombreux traitements devaient être déclarés. Désormais, la logique est celle de la responsabilisation (en anglais, accountability) : les organismes doivent eux-mêmes garantir et documenter leur conformité, la CNIL exerçant un contrôle a posteriori et pouvant prononcer des sanctions.

Qui veille à son application ?

C'est la CNIL qui est l'autorité de contrôle en France. Ses missions principales sont d'informer les personnes sur leurs droits, d'accompagner les organismes dans leur mise en conformité, de contrôler les traitements de données, et de sanctionner les manquements. Avec le RGPD, ses pouvoirs de sanction ont été considérablement renforcés (amendes pouvant atteindre des montants très élevés).

Que sont les données sensibles ?

Certaines données font l'objet d'une protection renforcée. Il s'agit notamment des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que des données de santé, des données génétiques ou biométriques, et des données relatives à la vie ou à l'orientation sexuelle.

Leur traitement est interdit par principe, mais ce principe connaît des exceptions encadrées par l'article 9 du RGPD. Le traitement redevient possible, par exemple, avec le consentement explicite de la personne, lorsqu'il est nécessaire au respect d'obligations en droit du travail, pour sauvegarder les intérêts vitaux d'une personne, ou s'il porte sur des données manifestement rendues publiques par l'intéressé.

Qu'est-ce qu'un traitement licite ?

Pour être licite, un traitement de données doit reposer sur l'une des bases légales prévues par l'article 6 du RGPD. Il en existe principalement six :

  • le consentement de la personne concernée ;
  • l'exécution d'un contrat (ou de mesures précontractuelles) ;
  • le respect d'une obligation légale à laquelle est soumis le responsable du traitement ;
  • la sauvegarde des intérêts vitaux d'une personne ;
  • l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique ;
  • la poursuite des intérêts légitimes du responsable du traitement, sauf lorsque priment les droits et libertés de la personne, en particulier s'il s'agit d'un enfant.

Au-delà d'une base légale, le traitement doit aussi respecter des principes généraux : transparence, finalité déterminée, minimisation des données, durée de conservation limitée, et sécurité des données.

L'essentiel à retenir

La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978), née du scandale du projet SAFARI, a créé la CNIL et posé les fondations de la protection des données en France. Elle se lit aujourd'hui avec le RGPD, applicable depuis mai 2018, qui a renouvelé le cadre : suppression quasi générale des déclarations préalables au profit de la responsabilisation des organismes, renforcement des droits des personnes et des pouvoirs de la CNIL. Les données sensibles sont protégées et leur traitement interdit, sauf exceptions ; tout traitement doit reposer sur une base légale.

La matière étant technique et évolutive, il est conseillé de se référer aux ressources de la CNIL ou de consulter un professionnel pour toute question de conformité. Cet article a une vocation purement informative.

Sources

  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Légifrance)
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 6 (licéité) et 9 (données sensibles)
  • Loi n° 2018-493 du 20 juin 2018 et ordonnance du 12 décembre 2018 (adaptation au RGPD) ; CNIL (cnil.fr) ; vie-publique.fr

Articles similaires dans Modèles et Outils

Attaque DNS : comprendre la menace et s'en protéger

Attaque DNS : comprendre la menace et s'en protéger

Une attaque visant le DNS, le système qui fait fonctionner la navigation sur Internet, peut rendre les sites et services d'une entreprise inaccessibles pendant des heures, voire des jours. Ces attaq...
L'intelligence artificielle et les pratiques juridiques : usages, limites et encadrement

L'intelligence artificielle et les pratiques juridiques : usages, limites et encadrement

L'intelligence artificielle (IA) s'installe dans le monde du droit, des cabinets d'avocats aux juridictions. Elle promet des gains de temps réels, mais soulève aussi des questions éthiques et juridi...
L'avocat conseil : rôle, intérêt et comment consulter un avocat (même gratuitement)

L'avocat conseil : rôle, intérêt et comment consulter un avocat (même gratuitement)

Quand on pense à l'avocat, on imagine souvent la plaidoirie au tribunal. Pourtant, une grande partie de l'activité des avocats relève du conseil : prévenir les litiges, sécuriser un contrat, éclairer...